第4章 ネットワークセキュリティーの監査ロギング
OVN-Kubernetes ネットワークプラグインは、Open Virtual Network (OVN) アクセス制御リスト (ACL) を使用して、AdminNetworkPolicy、BaselineAdminNetworkPolicy、NetworkPolicy、および EgressFirewall オブジェクトを管理します。監査ログは、NetworkPolicy、EgressFirewall、BaselineAdminNetworkPolicy カスタムリソース (CR) の Allow および Deny ACL イベントを公開します。ロギングは、AdminNetworkPolicy (ANP) CR の Allow、Deny、および Pass ACL イベントも公開します。
監査ログは、OVN-Kubernetes ネットワークプラグイン でのみ使用できます。
4.1. 監査設定 リンクのコピーリンクがクリップボードにコピーされました!
OpenShift Container Platform における監査ロギングの設定は、OVN-Kubernetes 用のクラスター Network カスタムリソースの policyAuditConfig セクションで定義されます。ロギングを有効にする前に、これらのデフォルト設定を確認して、ログの宛先、ファイルサイズの制限、およびレート制限を計画できます。
次の YAML は、監査ログのデフォルト値を示しています。
監査ロギング設定
apiVersion: operator.openshift.io/v1
kind: Network
metadata:
name: cluster
spec:
defaultNetwork:
ovnKubernetesConfig:
policyAuditConfig:
destination: "null"
maxFileSize: 50
rateLimit: 20
syslogFacility: local0
次の表では、監査ログの設定フィールドを説明します。
| フィールド | 型 | 説明 |
|---|---|---|
|
| integer |
ノードごとに毎秒生成されるメッセージの最大数。デフォルト値は、1 秒あたり |
|
| integer |
監査ログの最大サイズ (バイト単位)。デフォルト値は |
|
| integer | 保持されるログファイルの最大数。 |
|
| string | 以下の追加の監査ログターゲットのいずれかになります。
|
|
| string |
RFC5424 で定義される |